Ak chcete auditovať prístup k súborom a priečinkom v systéme Windows Server 2008 R2, musíte povoliť funkciu auditu a tiež určiť priečinky a súbory, do ktorých sa musí prístup zaznamenávať. Po nastavení auditu bude denník servera obsahovať informácie o prístupe a ďalších udalostiach k vybratým súborom a priečinkom. Je potrebné poznamenať, že prístup k súborom a priečinkom je možné auditovať iba na zväzkoch so súborovým systémom NTFS..
Povoľte auditovanie pre objekty súborového systému v systéme Windows Server 2008 R2
Auditovanie prístupu k súborom a priečinkom je povolené a deaktivované pomocou skupinových politík: doménové politiky pre doménu Active Directory alebo miestne bezpečnostné politiky pre samostatné servery. Ak chcete povoliť auditovanie na samostatnom serveri, musíte otvoriť konzolu na správu miestnej politiky Štart -> všetko Programy -> administratívne Nástroje -> miestna zabezpečenia politika. V konzole miestnej politiky musíte rozbaliť strom lokálnej politiky (miestna politiky) a vyberte položku audit politika.
Na pravej table vyberte položku audit objekt prístup av zobrazenom okne uveďte, ktoré typy udalostí prístupu k súborom a zložkám by sa mali zaznamenať (úspešný / neúspešný prístup):
Po výbere potrebných nastavení kliknite na OK.
Vyberte súbory a priečinky, ku ktorým bude prístup opravený
Po aktivácii auditu prístupu k súborom a priečinkom je potrebné vybrať konkrétne objekty systému súborov, ktorých prístupový audit sa vykoná. Podobne ako povolenia NTFS sa nastavenia auditu v predvolenom nastavení zdedia na všetky podradené objekty (pokiaľ nie je nakonfigurované inak). Rovnakým spôsobom ako pri prideľovaní prístupových práv k súborom a priečinkom možno dedenie nastavení auditu povoliť pre všetky a iba vybrané objekty..
Ak chcete nakonfigurovať auditovanie pre konkrétny priečinok / súbor, musíte naň kliknúť pravým tlačidlom myši a vybrať položku Vlastnosti (vlastnosti). V okne vlastností prejdite na kartu Zabezpečenie (zabezpečenia) a stlačte tlačidlo pokročilý. V okne rozšírených nastavení zabezpečenia (pokročilý zabezpečenia nastavenie) prejdite na kartu Audit (auditing). Nastavenie auditu si prirodzene vyžaduje administrátorské práva. V tejto fáze sa v okne auditu zobrazí zoznam používateľov a skupín, pre ktoré je povolený audit tohto prostriedku:
Ak chcete pridať používateľov alebo skupiny, ktorých prístup k tomuto objektu bude opravený, kliknite na tlačidlo Pridať ... a uveďte mená týchto používateľov / skupín (alebo uveďte každý - auditovať prístup pre všetkých používateľov):
Ďalej musíte zadať konkrétne nastavenia auditu (udalosti ako prístup, zápis, odstránenie, vytvorenie súborov a priečinkov atď.). Potom kliknite na tlačidlo OK OK.
Ihneď po použití týchto nastavení v denníku zabezpečenia systému (nájdete ho v module snap-in) počítačový Manažment -> Zobrazovač udalostí), s každým prístupom k objektom, pre ktoré je povolený audit, sa zobrazia príslušné záznamy.
Eventuálne je možné udalosti prezerať a filtrovať pomocou rutiny PowerShell. - Get-EventLog Napríklad, ak chcete zobraziť všetky udalosti s eventid 4660, vykonajte príkaz:
Zabezpečenie Get-EventLog | ? $ _. eventid -eq 4660rada. Je možné priradiť určité akcie k akýmkoľvek udalostiam v denníku Windows, ako je napríklad odoslanie e-mailu alebo spustenie skriptu. Ako je to nakonfigurované, je popísané v článku: Monitorovanie a oznamovanie udalostí v denníkoch systému Windows
UPD od 8. 6. 2012 (Vďaka komentátorovi rímsky).
V systéme Windows 2008 / Windows 7 sa objavil špeciálny nástroj na správu auditovania auditpol. Úplný zoznam typov objektov, v ktorých môžete povoliť auditovanie, môžete vidieť pomocou príkazu:
auditpol / zoznam / podkategória: *
Ako vidíte, tieto objekty sú rozdelené do 9 kategórií:
- systém
- Prihlásenie / odhlásenie
- Prístup k objektom
- Použitie privilégií
- Podrobné sledovanie
- Zmena politiky
- Správa účtu
- Prístup DS
- Prihlasovanie účtu
A každá z nich je rozdelená do podkategórií. Napríklad kategória Audit prístupu k objektom obsahuje podkategóriu Systém súborov a na povolenie auditu objektov systému súborov v počítači spustite príkaz:
auditpol / set / subcategory: "File System" / fail: enable / success: enable
Podľa príkazu je odpojený:
auditpol / set / subcategory: "File System" / fail: disable / success: disable
tj Ak zakážete audit nepotrebných podkategórií, môžete výrazne znížiť objem denníka a počet nepotrebných udalostí..
Po aktivácii auditu prístupu k súborom a priečinkom musíte určiť konkrétne objekty, ktoré budeme kontrolovať (vo vlastnostiach súborov a priečinkov). Nezabudnite, že v predvolenom nastavení sú nastavenia auditu zdedené pre všetky podradené objekty (pokiaľ nie je uvedené inak).
Všetky zhromaždené udalosti je možné uložiť do externej databázy, aby sa zachovala história. Príklad implementácie systému: Jednoduchý systém auditu vymazania súborov a priečinkov pre Windows Server.